Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
opnsense als Bridge, ich bräuchte etwas Hilfe
« previous
next »
Print
Pages: [
1
]
Author
Topic: opnsense als Bridge, ich bräuchte etwas Hilfe (Read 1426 times)
rolfd
Newbie
Posts: 40
Karma: 4
opnsense als Bridge, ich bräuchte etwas Hilfe
«
on:
January 26, 2023, 01:24:34 pm »
Hallo, folgendes,
ich habe ein opnsense als Bridge mit 2 Interfaces nach Anleitung
https://docs.opnsense.org/manual/how-tos/lan_bridge.html
frisch aufgesetzt. Bridges arbeiten ja wie Switches auf ISO-OSI 2 bzw. entsprechen einander.
Zusätzlich hat der entstandene Bridge Adapter BR0 aber eine IP Adresse aus dem Lan Netz bekommen und so entspricht das eher einer Managed Bridge/Switch. Dies mache ich weil da auch Dienste drauf laufen sollen welche an eine IP gebunden werden müssen. Funktionierendes Beispiel bei mir ist z.b. unbound. Soweit funktioniert auch alles bestens. Der Aufbau ist wie folgt:
|fritzbox|-----|opnsense|------|pc|, alles im 192.168.178.0/24er Netz, die opnsens hat statisch die 192.168.178.254, die pcs beziehen dynamische ips.
Ich kann so von beiden Seiten der opnsense an die BR0 (über LAN und WAN If) um den Firewall Rechner zu administrieren da ich per Wlan der Fritz über das WAN If komme und von dem PC aus über das LAN If.
LAN und WAN haben keine IP Adressen und durch die System Tunables wird die Bearbeitung von Regeln von den Member IF auf das Bridge IF umgelegt. Zusätzlich aber unnötiger Weise hab ich auf alle If (auch auf BR0 und Lo) "All in Allow" Regeln gelegt da ich derzeit nichts filtern sondern nur metern möchte. Die Regelverarbeitung auf LAN und WAN sollte aber eh wegen der System Tunables umgangen werden. Unbound ist an die Bridge gebunden und läuft prima.
Jetzt zu meinen Fragen:
Da dies alles so prima läuft würde ich gerne auch ein transparenten Webproxy nutzen.
Also habe ich mir den Webproxy zunächst auf BR0 eingerichtet und im Browser eingestellt. Nach etwas Fummelei und der Erkenntnis das der SSL Port 3129 nicht funktioniert (egal was man da einstellt, sockstat melden keinen 2. LISTEN Port obwohl squid das kann), man aber HTTP und HTTPS beides über 3128 laufen lassen kann, habe ich den so zum laufen bekommen. Nun folgte die Umstellung auf Transparent - also Häkchen rein für Transparent, an die Lo statt an die BR0 gebunden und dann fehlt eigentlich nur die NAT Regel welche den http Trafic aus dem Datenstrom der Bridge fängt und auf lo umleitet.
Die automatische Regel welche einem da im Hilfetext angeboten wird lauscht dann auf dem LAN und fängt http ab um es nach lo umzuleiten. Nur leider funktioniert das so nicht. Auch nicht wenn man statt auf LAN auf BR0 lauscht. In der genannten Anleitung wird beschrieben das man outbound Nat ausschalten soll aber die Regel nutzt ja letztlich outbound Nat für die Umleitung auch wenn sie unter Portforwarding landet. Da Regeln auf den an der Bridge beteiligten Adaptern aber eh nicht ausgeführt werden kann es sich nur um die BR0 drehen. Da scheint aber nur das Regelwerk in den Floating Rules zu greifen.... wo man allerdings keine NAT Regel rein bekommt...
Wer hat also eine Idee wie ich die Regel einstellen muss so das der transparent Webproxy funktioniert?
Logged
Als die Athener mit ihrem Heer nahten, sandte man der Legende nach die Drohung an die Stadt Sparta:
„Wenn wir euch besiegt haben, werden eure Häuser brennen, eure Städte in Flammen stehen und eure Frauen zu Witwen werden.“
Darauf antworteten die Spartaner:
„Wenn.“
micneu
Hero Member
Posts: 1912
Karma: 59
Re: opnsense als Bridge, ich bräuchte etwas Hilfe
«
Reply #1 on:
January 26, 2023, 03:32:48 pm »
Ich habe keine Antwort auf deine Frage, nur warum machst du das, was ist genau dein Ziel habe es aus deinem Text nicht verstanden
Gesendet von iPhone mit Tapatalk Pro
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
rolfd
Newbie
Posts: 40
Karma: 4
Re: opnsense als Bridge, ich bräuchte etwas Hilfe
«
Reply #2 on:
January 26, 2023, 04:15:27 pm »
Es gibt verschiedene Grüde für das Vorgehen.
Wie ich schon sagte ist mein aktuelles Ansinnen vor Allem das Messen (metern) von jeglichem Traffic.
Dies schließt nicht aus später Regeln einzuziehen welche firewallen. Zunächst möchte man aber ein einwandfrei laufendes System haben damit die Fehlersuche überschaubar bleibt. Dies leistet eine Bridge.
Das Konzept einer bridging Firewall verhindert Doppelnat zumal die Fritzbox schon eigenes Nat bei ipv4 durchführt, es erleichtert aber auch die ipv6 Zuweisungen und Administration. Ich sehe keinen Grund mit dhcp6 und icmp Gebastel eigene ipv6 Subnetze aufzumachen wenn funktionierende ipv6 Daten an der Fritzbox anliegen. Auf dem System läuft jetzt schon neben unbound auch ein IDS einwandfrei.
Ich sehe keinen ernst zu nehmenden Grund warum mein Ansatz nicht gehen soll, ich suche lediglich den Weg dahin in einer Umgebung (FreeBSD) in der ich leider nicht 100% firm bin, auf einem Gnu/Linux System mit Iptables bin ich eher zuhause. Ich sehe das also auch unter dem Ansatz "lernen". Ich hoffe das reicht als Begründung "warum so und nicht anders".
Um die Frage oben zu präzisieren:
In der genannten Anleitung wird mit den Systemtunables die Prüfung der beteiligten IF ab ud die Prüfung auf der Bridge angeschaltet. Warum muss das so sein und kann man das auch so betreiben wie es ursprünglich eingestellt war? Also Prüfung auf den IF und nicht auf der Bridge? Oder sogar Prüfung auf IF UND Bridge?
Was outbound NAT angeht... Macht es Sinn outbound NAT manuel wieder einzuschalten wenn man halbwegs weiß was man tut? Warum muss die Outbound Nat angeblich deaktiviert werden... und was wird da genau deaktiviert? Betrifft das nur das Opnsense Webinterface mit automatisch generierten Regeln oder wird da tiefer ins System eingegriffen? Es gibt zu Bridging Opnsense leider nicht so viele Beiträge und Howtos die hier Aussagekräftig sind.
«
Last Edit: January 26, 2023, 04:20:40 pm by rolfd
»
Logged
Als die Athener mit ihrem Heer nahten, sandte man der Legende nach die Drohung an die Stadt Sparta:
„Wenn wir euch besiegt haben, werden eure Häuser brennen, eure Städte in Flammen stehen und eure Frauen zu Witwen werden.“
Darauf antworteten die Spartaner:
„Wenn.“
rolfd
Newbie
Posts: 40
Karma: 4
Re: opnsense als Bridge, ich bräuchte etwas Hilfe
«
Reply #3 on:
January 26, 2023, 11:57:50 pm »
Also nach lesen folgender Doku
https://docs.freebsd.org/doc/9.2-RELEASE/usr/share/doc/freebsd/de/books/handbook/network-bridging.html
kann ich zumindest schon mal Kund tuen das man die Einstellungen für
net.link.bridge.pfil_member und net.link.bridge.pfil_bridge
nicht zu ändern braucht wenn man "All in Allow" in den Interfaces sitzen hat. Auch die Natregeln ausschalten ist nicht notwendig, auf Manuell stellen reicht vollkommen. Es wird dann wieder auf den Interfaces LAN und WAN und nicht an der Bridge gefiltert und man kann sich seine Regeln ganz normal selbst wie gewohnt bezogen auf Interfaces zusammen stellen.
«
Last Edit: January 26, 2023, 11:59:46 pm by rolfd
»
Logged
Als die Athener mit ihrem Heer nahten, sandte man der Legende nach die Drohung an die Stadt Sparta:
„Wenn wir euch besiegt haben, werden eure Häuser brennen, eure Städte in Flammen stehen und eure Frauen zu Witwen werden.“
Darauf antworteten die Spartaner:
„Wenn.“
rolfd
Newbie
Posts: 40
Karma: 4
Re: opnsense als Bridge, ich bräuchte etwas Hilfe
«
Reply #4 on:
January 29, 2023, 11:54:39 pm »
Ich scheine nicht der Einzige zu sein, der damit Schwierigkeiten hat,
https://forum.opnsense.org/index.php?topic=7254.0
leider ohne Replys und damit auch ohne Lösung.
Ebenfalls gefunden habe ich
https://forums.freebsd.org/threads/pf-transparent-bridge-squid-finally-working-on-freebsd-12-1-for-opnsense-12-7_7.78279/
was immerhin darauf hinweist, das es grundsätzlich geht. Leider komme ich damit nicht wirklich weiter.
Der Kollege stellt ein Howto in Aussicht, was ich aber nicht gefunden habe. In den Konfigs rumeditieren bringt aber auch wenig da Opnsense die händischen Änderungen vermutlich dauernd überschreibt. Schade eigentlich.
Wenn ich das richtig verstehe ist das in pfsense kein Problem.
https://www.youtube.com/watch?v=1EXgyvwJZ6k
«
Last Edit: January 30, 2023, 12:08:20 am by rolfd
»
Logged
Als die Athener mit ihrem Heer nahten, sandte man der Legende nach die Drohung an die Stadt Sparta:
„Wenn wir euch besiegt haben, werden eure Häuser brennen, eure Städte in Flammen stehen und eure Frauen zu Witwen werden.“
Darauf antworteten die Spartaner:
„Wenn.“
rolfd
Newbie
Posts: 40
Karma: 4
Re: opnsense als Bridge, ich bräuchte etwas Hilfe
«
Reply #5 on:
February 12, 2023, 09:50:21 pm »
Ich hab mir das inzwischen in PFSense angesehen,
da schaltet man einfach den Proxy ein und die FW generiert hidden Rules mit denn das sofort funktioniert.
In OpnSense habe ich es nicht hinbekommen aber da ich inzwischen doch andere Netze verwende und keine hidden FW brauche, hat sich das mit der Bridge erledigt. Damit ist die Frage zwar nicht geklärt aber für mich auch nicht mehr relevant. Wer eine funktionierende Lösung hat kann sie ja hier drunter pinnen.. gibt sicherlich noch andere die sich damit rumschlagen.
Logged
Als die Athener mit ihrem Heer nahten, sandte man der Legende nach die Drohung an die Stadt Sparta:
„Wenn wir euch besiegt haben, werden eure Häuser brennen, eure Städte in Flammen stehen und eure Frauen zu Witwen werden.“
Darauf antworteten die Spartaner:
„Wenn.“
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
opnsense als Bridge, ich bräuchte etwas Hilfe